(資料圖片僅供參考)
作者:馬上消費研究院 周蓉蓉隨著隱私計算的火熱,其引發的商業價值和隨之而來的法律問題也進入公眾視野。2021年,隱私計算賽道云集了互聯網大廠、金融機構和各類初創專精型公司,AI、區塊鏈等曾經熱門賽道的企業也紛紛開始加注隱私計算,以尋求第二增長曲線。2021年3月31日,北京國際大數據交易所成立,北京數據交易系統上線。作為國內首家基于“數據可用不可見,用途可控可計量”新型交易范式的數據交易所,北京數據交易系統是基于區塊鏈和隱私計算技術支持的全鏈條交易服務體系,為市場參與者提供數據清洗、供需撮合、法律咨詢、價值評估、權屬認證等一系列專業化服務。2022年2月28日,廣東省人民政府辦公廳印發《廣東省數字政府改革建設2022年工作要點》(粵辦函[2022]24號)指出,“探索運用區塊鏈、隱私計算等新技術強化數據安全防護”。根據由隱私計算聯盟、中國信息通信研究院云計算與大數據研究所于2021年7月聯合發布的《隱私計算白皮書(2021年)》,隱私計算(Privacy-preserving computation)的定義是“在保證數據提供方不泄露原始數據的前提下,對數據進行分析計算的一系列信息技術,保證數據在流通和融合過程中的可用不可見”。隱私計算最具代表性的是多方安全計算,由圖靈獎獲得者姚期智院士于1982年提出,至今已有40年。在隱私計算領域,另有聯邦學習、可信執行環境為典型代表。隱私計算技術體系既包含混淆電路、不經意傳輸等底層密碼學技術,也包含零知識證明、差分隱私等輔助技術。不同技術各有所長,在解決不同問題時所發揮的作用各有千秋,在具體應用場景中,往往根據問題需求、行業類別、數據規模等因素而選擇隱私計算的不同技術結合使用。例如,隱私計算在醫療領域得到豐富應用,國家醫療健康大數據的首批試點城市廈門,基于隱私計算建立了健康醫療大數據應用開放平臺;在金融領域應用于互聯網金融和消費金融風控模型等。在隱私計算迎來“風口”的當下,其優勢與價值自不必言,然而不能回避的是技術的“雙刃劍”效應,其中蘊含的法律問題值得深思。一、隱私計算真正提升數據合規了嗎?在數字經濟發展動能加速釋放的背景下,數據作為關鍵生產要素,在使用層面一直面臨開放、共享以實現高效利用與保護、合規以維護各方權益的矛盾。隱私計算的模式是在保護隱私的前提下,實現開放共享。隱私計算的核心競爭力是數據在流通和融合過程中的“可用不可見”,但使用隱私計算并不意味著可以解決數據流通融合的所有合規問題。隱私計算不同技術路線各有合規痛點。比如性能良好的多方安全計算路線需引入計算輔助方,面臨可信挑戰;傳統聯邦學習的安全性證明不嚴謹;硬件TEE方案有較好的性能和算法生態,但數據集中式處理,依賴廠商硬件的可信賴程度,因此需要結合具體場景需求采用合適的技術路線。隨著網絡安全法、數據安全法、個人信息保護法相繼施行,數據的使用、流通與保護將得到進一步規范。隱私計算在某種意義上成為平衡個人信息的商業流通價值與個人權益兩種價值可行的技術解決方案之一。但我國法律尚未對隱私計算等技術的合法性和合規性做出明確規定,致使隱私計算企業在技術產品設計、業務流程設計方面仍然欠缺規范指引。例如,現有法律規定“未經被收集者同意,網絡運營者不得向他人提供個人信息”,而隱私計算的目標就是基于多方數據的計算,原則上破壞了這一要求,但同時又可能適用于“經過處理無法識別特定個人且不能復原”的例外條款。根據歐盟的立法,即使參與聯邦學習的主體沒有訪問對方的數據,也可能被認為是共同控制者。因此,在采用隱私計算技術方案時,仍需重點關注數據的使用授權。通常情形下,根據各方職能劃分,隱私計算參與方可分為“數據提供方”、“技術提供方”和“結果使用方”三方。數據來源的合法性是對數據提供方提出的最為關鍵的合規要求。無論是直接收集的數據(數據提供方直接向數據主體進行收集),或者間接獲取的數據(數據提供方向數據供應商采購的數據),或者自身生產經營活動所產生的商業數據,或對收集數據進行梳理匯總所形成的衍生數據,如果在隱私計算技術啟用的起點,數據提供方的數據來源沒有遵循“合法、正當、必要的原則,公開收集規則,明示收集信息的目的、方式和范圍,并經被收集者同意”,沒有限于“實現處理目的的最小范圍”,存在瑕疵甚至不法,那么后續計算的過程、計算的結果都將面臨侵權的指責和責任的承擔。在同意的合法性基礎條件下,雖然源數據并不出庫,但數據處理者仍然是基于對數據主體的數據實施特定的“處理”而產出了計算結果(例如通過分析不同網絡平臺的用戶數據得出平臺用戶的收入水平)。用戶有權了解數據處理的具體內容,以滿足《個人信息保護法》規定的透明度規定,在此情況下,用戶所在的平臺是否有必要披露多方參與主體的具體信息,仍然可能存在不確定性。如個人信息已經匿名化處理后不再屬于個人信息的范疇,則應轉而適用《數據安全法》等關于數據方面的使用合規要求。《個人信息保護法》中規定了個人信息處理者自行處理及涉他處理(共同處理、委托處理、共享)的不同情形,不同情形的法定義務大不相同。例如,委托處理情形無需對數據主體告知同意,而共享情形下(即個人信息處理者向其他個人信息處理者提供其處理的個人信息的情形)應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意,如果接收方變更原先的處理目的、處理方式的,還應當依法重新取得個人同意。作為隱私計算的數據提供方,其提供的數據究竟能否使用、可以怎樣使用、應當在怎樣的范圍內使用,不同的應用場景下,在不同的使用方式下,得出的答案可以大不相同。此外,由于聯邦學習中的梯度仍然可以揭示衍生的一些個人信息,特別是當模型很復雜、有很多細粒度變量的情況下,個人信息仍有被重新識別的風險。在非匿名化個人信息的數據交互后,如何有效的實現數據生命周期末端——包括個人信息主體請求以及法律規范所要求的數據刪除及監控日志等問題,需要相關主體在隱私計算設計中即充分考慮此類合規問題并加以實現。二、隱私計算有效實現數據流通了嗎?多方安全計算、聯邦學習等技術,相對與傳統的數據聚合和機器模式明顯增強了對于數據的保護、降低了數據泄露的風險。因此,包括歐盟在內的部分地區將其視為“數據最小化”的一種實現方式。但其帶來技術壁壘及安全性隱患不容忽視。技術協同方面,當前入局者們的技術互不相同,相關企業不愿意公開自己的底層協議,發展水平也不一,對隱私計算產品和技術的推廣造成一定的困擾。協議不透明導致安全性難以審計。安全性方面,隱私計算的功能在于解決數據流通安全性的問題。然而,由于密碼學上的證明安全與實際安全并不相等,現階段的隱私計算技術面臨安全性難以被論證或證明的困境,很多假設安全的方法在實際應用上存在嚴重的安全性漏洞。同時,隱私計算也會帶來很多新的安全問題,比算法歧視,又或者被黑客投入“臟數據”“毒數據”,導致“數據投毒”的風險存在。多方安全計算是在假設各方均能夠提供真實有效數據的情況下實施,但事實上這過于理想化,數據參與方可能基于本身數據問題或者基于故意(如競爭對手偽裝參與)或過失而實施數據污染,輸入錯誤的源數據,這將導致多方計算結果的不準確,從而影響數據質量。但是,我國《個人信息保護法》第八條明確了“數據質量原則”,要求保證上個人信息的質量,避免質量不準確、不完整而對個人權益造成不利影響。多方安全計算的本質是“數據信任去中心化”,杜絕中心化數據的存在,以算法技術為數據安全實施背書。但是,基于數據合謀或者數據污染等概率問題存在,多方參與主體仍然有意愿希望在未來的特定時間,對多方安全計算結果進行可溯源的隨機驗證,并以結果反推各參與方的責任,但完全基于信任條件下的多方安全計算在此時發生了尷尬,驗證溯源可能困難重重。隱私計算的過程中存在包括個人信息主體、數據提供方、技術提供方、結果使用方等多方主體,相關主體之間的權責如何劃分界定,需要在數據確權的理論基礎上,在實踐中不斷探尋各方主體法益的相對平衡。在多方安全計算中,如果若干參與方破環計算規則參與合謀,將可能導致其它參與方的數據泄露事件發生。以“誰是買單者?”游戲為例,若小紅和小白發生合謀,只要小白將其計算結果A的數值告訴小紅,則小紅可以通過小黑告訴自己的數值B,以“B-A”的方式得出小黑的準確工資金額。因此,MPC協議仍然需要明確參與各方的權責關系,以應對未來可能存在的責任爭議。標準方面,2020年11月,中國人民銀行發布《多方安全計算金融應用技術規范》(JR/T 0196-2020)金融行業標準;2021年3月30日,國際標準組織電氣與電子工程師協會發布正式標準文件(IEEE P3652.1)并于11月正式發布多方安全計算IEEE國際標準——《IEEE2842-2021 - Recommended Practice for Secure Multi-Party Computation》;2022年4月15日,國家市場監督管理總局、國家標準化管理委員會發布《信息安全技術 可信執行環境 基本安全規范》,確立了可信執行環境系統整體技術架構,描述了可信執行環境基礎要求、可信虛擬化系統、可信操作系統等主要內容及其測試評價方法;近日,中國信息通信研究院聯合中國互聯網金融協會中互金認證頒發了我國首張“聯邦學習產品安全認證證書”,通過權威認證助力金融隱私計算高質量發展。如果能通過底層編譯器實現數據流圖層的兼容互通,支持一鍵改寫和適配上層多種算法,同時一定程度上將協議公開,使安全性可追溯、可驗證,隱私計算的協同性將更大程度得以實現。三、隱私計算充分釋放數據價值了嗎?隱私計算作為可以促進數據流通融合的有效技術方案,迎來一波市場熱潮。無論是互聯網大廠還是隱私計算初創企業,入局者都在努力助推技術的發展創新,努力和眾多產業、具體應用場景進行融合對接。但是,隱私計算解決了數據“能”拿出來的問題,但沒有解決數據價值閉環的問題。多方安全計算系由多方共同提供數據源而生成計算結果,各方均由此得益,但仍然面臨各方數據輸入數據的量級或者質量程度不一的情況,多方的貢獻比例可能難以衡平,而各方均又希望獲得計算結果,該計算結果的數據權益(屬)歸于共同,還是通過合同方式確認歸屬,抑或是二次利用,可能仍然會在一定程度上引發爭議,仍然有賴于參與各方通過協議方式予以明確。各方數據處理者或數據主體需要愿意分享他們擁有的數據,如果數據主體明確不同意數據的流通融合,那么數據提供方即使確保了數據來源的合法性(數據主體同意其采集),即使因為隱私計算“數據可用不可見”的核心競爭力大幅降低了數據泄露風險和數據主體權益的侵害可能,但也無權將數據用于流通融合。當多方參與主體數量較少,且各方投入數據不豐富的情況下,計算生成的結果仍然可能屬于“個人信息”,從而引發數據處理者更多更高的義務。例如,多方參與平臺通過計算,得出納入計算的用戶數據均存在“18周歲以上”的畫像標簽值,則該標簽值適配于所有用戶,屬于關聯于個人的個人信息。多方安全計算需要根據數據情況生成相應的隨機數,這會減慢運行時間,對算力成本提出挑戰,參與方也需要有一定的通信連接成本。例如,在“誰是買單者?”游戲中,為了區別簡單的工資數值,需要輸入一個很不一樣的隨機巨大值,這無疑延長了“人腦計算”結果的效率,算力也面臨同樣的問題。現階段隱私計算技術發展仍處于早期,盡管初步具備可用性,但許多核心要點以及核心應用尚未得到更廣泛認同,其應用中亟待提升對更大的數據方和數據量以及更復雜場景的應對能力。在全面推進數字化轉型的政策引領下,在促進數據流通融合的時代背景下,發展隱私計算技術、拓展其場景應用是一種值得肯定的創新,但也應保持冷靜,充分意識到其風險和隱患,關注其發展中的痛點和難點,及時運用經濟、法律和政策等手段加以規制,在維護數據安全、實現數據流通、釋放數據價值中找到平衡的支點。
營業執照公示信息